Installer des clusters ROSA Classic

Procédure

1. Créez un rôle OpenShift Cluster Manager et liez-le à votre organisation Red Hat:

   Note

   Afin d’activer le déploiement automatique des rôles d’opérateur spécifiques au cluster et du fournisseur OpenID Connect (OIDC) à l’aide de la console de cloud hybride OpenShift Cluster Manager, vous devez appliquer les privilèges administratifs au rôle en choisissant la commande de rôle OCM Admin dans l’étape Comptes et rôles de la création d’un cluster ROSA. En savoir plus sur les privilèges de base et administratifs pour le rôle de gestionnaire de cluster OpenShift, voir Comprendre l’association de compte AWS.

   Note

   Lorsque vous choisissez la commande de rôle OCM de base dans l’étape Comptes et rôles de la création d’un cluster ROSA dans la console de cloud hybride OpenShift Cluster Manager, vous devez déployer un cluster ROSA en mode manuel. Dans une étape ultérieure, vous serez invité à configurer les rôles d’opérateur spécifiques au cluster et le fournisseur OpenID Connect (OIDC).

   $ rosa create ocm-role

   Copy to Clipboard Toggle word wrap

   Choisissez les valeurs par défaut dans les instructions pour créer rapidement et lier le rôle.

2. Créez un rôle d’utilisateur et liez-le à votre compte d’utilisateur Red Hat:

   $ rosa create user-role

   Copy to Clipboard Toggle word wrap

   Choisissez les valeurs par défaut dans les instructions pour créer rapidement et lier le rôle.

   Note

   Le compte d’utilisateur Red Hat doit exister dans l’organisation Red Hat qui est liée à votre rôle OpenShift Cluster Manager.

Procédure

1. Consultez votre compte AWS pour connaître les rôles et les politiques existants:

   $ rosa list account-roles

   Copy to Clipboard Toggle word wrap

2. Dans le cas où ils n’existent pas dans votre compte AWS, créez les rôles et politiques STS requis à l’échelle du compte:

   $ rosa create account-roles

   Copy to Clipboard Toggle word wrap

   Choisissez les valeurs par défaut dans les instructions pour créer rapidement les rôles et les stratégies.

Procédure

1. Afin de créer votre configuration OIDC à côté des ressources AWS, exécutez la commande suivante:

   $ rosa create oidc-config --mode=auto --yes

   Copy to Clipboard Toggle word wrap

   Cette commande renvoie les informations suivantes.

   Exemple de sortie

   ? Would you like to create a Managed (Red Hat hosted) OIDC Configuration Yes
   I: Setting up managed OIDC configuration
   I: To create Operator Roles for this OIDC Configuration, run the following command and remember to replace <user-defined> with a prefix of your choice:
   	rosa create operator-roles --prefix <user-defined> --oidc-config-id 13cdr6b
   If you are going to create a Hosted Control Plane cluster please include '--hosted-cp'
   I: Creating OIDC provider using 'arn:aws:iam::4540112244:user/userName'
   ? Create the OIDC provider? Yes
   I: Created OIDC provider with ARN 'arn:aws:iam::4540112244:oidc-provider/dvbwgdztaeq9o.cloudfront.net/13cdr6b'

   Copy to Clipboard Toggle word wrap

   Lors de la création de votre cluster, vous devez fournir l’identifiant de configuration OIDC. La sortie CLI fournit cette valeur pour --mode auto, sinon vous devez déterminer ces valeurs en fonction de la sortie CLI aws pour --mode manuel.

2. Facultatif : vous pouvez enregistrer l’identifiant de configuration OIDC en tant que variable à utiliser ultérieurement. Exécutez la commande suivante pour enregistrer la variable:

   $ export OIDC_ID=<oidc_config_id>

   1

   Copy to Clipboard Toggle word wrap

   1

   Dans l’exemple de sortie ci-dessus, l’IDC de configuration ID est 13cdr6b.

   • Afficher la valeur de la variable en exécutant la commande suivante:

     $ echo $OIDC_ID

     Copy to Clipboard Toggle word wrap

     Exemple de sortie

     13cdr6b

     Copy to Clipboard Toggle word wrap

Procédure

1. Accédez à OpenShift Cluster Manager et sélectionnez Créer un cluster.
2. Dans la page Créer un cluster OpenShift, sélectionnez Créer un cluster dans la ligne Red Hat OpenShift sur AWS (ROSA).

3. Assurez-vous que votre identifiant de compte AWS est listé dans le menu déroulant des comptes AWS associés et que l’installateur, le support, le travail et le rôle de compte de plan de contrôle Amazon Resource Names (ARN) sont listés sur la page Comptes et rôles.

   Note

   Dans le cas où votre identifiant de compte AWS n’est pas listé, vérifiez que vous avez associé avec succès votre compte AWS à votre organisation Red Hat. Dans le cas où les ARN de votre rôle de compte ne sont pas listés, vérifiez que les rôles STS requis à l’échelle du compte existent dans votre compte AWS.

4. Cliquez sur Next.

5. Dans la page Détails du cluster, fournissez un nom pour votre cluster dans le champ Nom du cluster. Laissez les valeurs par défaut dans les champs restants et cliquez sur Suivant.

   Note

   Création de cluster génère un préfixe de domaine en tant que sous-domaine pour votre cluster provisionné sur openshiftapps.com. Lorsque le nom du cluster est inférieur ou égal à 15 caractères, ce nom est utilisé pour le préfixe de domaine. Lorsque le nom du cluster est supérieur à 15 caractères, le préfixe de domaine est généré au hasard en tant que chaîne de 15 caractères. Afin de personnaliser le sous-domaine, sélectionnez la case à cocher Créer un préfixe de domaine personnalisé et entrez le nom de préfixe de domaine dans le champ Préfixe de domaine.

6. Afin de déployer rapidement un cluster, laissez les options par défaut dans les paramètres Cluster, Networking, Cluster rôles et stratégies, et Cluster met à jour les pages et cliquez sur Suivant sur chaque page.
7. Dans la page Révisez votre cluster ROSA, consultez le résumé de vos sélections et cliquez sur Créer un cluster pour démarrer l’installation.

8. Facultatif: Dans l’onglet Aperçu, vous pouvez activer la fonction de protection de suppression en sélectionnant Activer, qui est situé directement sous Supprimer Protection: Désactiver. Cela empêchera votre cluster d’être supprimé. Afin de désactiver la protection, sélectionnez Désactiver. Les clusters sont créés par défaut avec la fonction de protection de suppression désactivée.

   La vérification

   • Consultez l’état d’avancement de l’installation dans la page Aperçu de votre cluster. Les journaux d’installation sont affichés sur la même page. Le cluster est prêt lorsque l’état dans la section Détails de la page est listé comme prêt.

     Note

     En cas d’échec de l’installation ou que l’état du cluster ne change pas pour Ready après environ 40 minutes, vérifiez la documentation de dépannage de l’installation pour plus de détails. De plus amples informations sont disponibles sur les installations de dépannage. Les étapes à suivre pour contacter Red Hat Support pour obtenir de l’aide sont disponibles sur AWS.

Procédure

1. Accédez à OpenShift Cluster Manager et sélectionnez Créer un cluster.
2. Dans la page Créer un cluster OpenShift, sélectionnez Créer un cluster dans la ligne Red Hat OpenShift sur AWS (ROSA).

3. Lorsqu’un compte AWS est automatiquement détecté, l’ID de compte est listé dans le menu déroulant des comptes AWS associés. Dans le cas où aucun compte AWS n’est détecté automatiquement, cliquez sur Sélectionner un compte → Associer un compte AWS et suivez ces étapes:

   1. Dans la page Authenticate, cliquez sur le bouton copier à côté de la commande de connexion rosa. La commande inclut votre jeton de connexion OpenShift Cluster Manager API.

      Note

      Il est également possible de charger votre jeton API sur la page OpenShift Cluster Manager API Token sur OpenShift Cluster Manager.

   2. Exécutez la commande copiée dans le CLI pour vous connecter à votre compte ROSA.

      $ rosa login --token=<api_login_token> 

      1

      Copy to Clipboard Toggle word wrap

      1

      <api_login_token> par le jeton fourni dans la commande copiée.

      Exemple de sortie

      I: Logged in as '<username>' on 'https://api.openshift.com'

      Copy to Clipboard Toggle word wrap

   3. Dans la page Authenticate dans OpenShift Cluster Manager, cliquez sur Suivant.

   4. Dans la page des rôles OCM, cliquez sur le bouton de copie à côté du rôle OCM de base ou des commandes de rôle OCM d’administration.

      Le rôle de base permet à OpenShift Cluster Manager de détecter les rôles et politiques AWS IAM requis par ROSA. Le rôle d’administrateur permet également de détecter les rôles et les politiques. En outre, le rôle d’administrateur permet le déploiement automatique des rôles d’opérateur spécifiques au cluster et du fournisseur OpenID Connect (OIDC) en utilisant OpenShift Cluster Manager.

   5. Exécutez la commande copiée dans le CLI et suivez les instructions pour créer le rôle OpenShift Cluster Manager IAM. L’exemple suivant crée un rôle de base OpenShift Cluster Manager IAM en utilisant les options par défaut:

      $ rosa create ocm-role

      Copy to Clipboard Toggle word wrap

      Exemple de sortie

      I: Creating ocm role
      ? Role prefix: ManagedOpenShift 

      1

      
      ? Enable admin capabilities for the OCM role (optional): No 

      2

      
      ? Permissions boundary ARN (optional):  

      3

      
      ? Role Path (optional): 

      4

      
      ? Role creation mode: auto 

      5

      
      I: Creating role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>'
      ? Create the 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role? Yes
      I: Created role 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>'
      I: Linking OCM role
      ? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>
      ? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role with organization '<red_hat_organization_id>'? Yes 

      6

      
      I: Successfully linked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with organization account '<red_hat_organization_id>'

      Copy to Clipboard Toggle word wrap

      1

      Indiquez le préfixe à inclure dans le nom de rôle OCM IAM. La valeur par défaut est ManagedOpenShift. Il est possible de créer un seul rôle OCM par compte AWS pour votre organisation Red Hat.

      2

      Activer le rôle d’administration OpenShift Cluster Manager IAM, ce qui équivaut à spécifier l’argument --admin. Le rôle d’administrateur est requis si vous souhaitez utiliser le mode Auto pour fournir automatiquement les rôles d’opérateur spécifiques au cluster et le fournisseur OIDC en utilisant OpenShift Cluster Manager.

      3

      Facultatif : Spécifiez une limite d’autorisations avec Amazon Resource Name (ARN) pour le rôle. Consultez les limites des autorisations pour les entités IAM dans la documentation AWS.

      4

      Indiquez un chemin ARN personnalisé pour votre rôle OCM. Le chemin doit contenir uniquement des caractères alphanumériques et commencer et se terminer par /, par exemple /test/path/dev/. Consultez la personnalisation du chemin ARN pour les rôles et les politiques IAM.

      5

      Choisissez le mode de création de rôles. Le mode automatique permet de créer automatiquement le rôle OpenShift Cluster Manager IAM et de le lier à votre compte d’organisation Red Hat. En mode manuel, le ROSA CLI génère les commandes aws nécessaires pour créer et relier le rôle. En mode manuel, les fichiers JSON de stratégie correspondant sont également enregistrés dans le répertoire actuel. le mode manuel vous permet d’examiner les détails avant d’exécuter manuellement les commandes aws.

      6

      Liez le rôle de gestionnaire de cluster OpenShift à votre compte d’organisation Red Hat.

   6. Lorsque vous avez choisi de ne pas lier le rôle IAM OpenShift Cluster Manager à votre compte d’organisation Red Hat dans la commande précédente, copiez la commande de lien de rosa à partir de la page de rôle OCM OpenShift Cluster Manager OCM et exécutez-le:

      $ rosa link ocm-role <arn> 

      1

      Copy to Clipboard Toggle word wrap

      1

      <arn> par l’ARN du rôle OpenShift Cluster Manager IAM qui est inclus dans la sortie de la commande précédente.

   7. Cliquez sur Suivant sur la page des rôles OpenShift Cluster Manager OCM.

   8. Dans la page des rôles de l’utilisateur, cliquez sur le bouton de copie de la commande de rôle utilisateur et exécutez la commande dans le CLI. Le Red Hat utilise le rôle d’utilisateur pour vérifier votre identité AWS lorsque vous installez un cluster et les ressources requises avec OpenShift Cluster Manager.

      Consultez les instructions pour créer le rôle de l’utilisateur:

      $ rosa create user-role

      Copy to Clipboard Toggle word wrap

      Exemple de sortie

      I: Creating User role
      ? Role prefix: ManagedOpenShift 

      1

      
      ? Permissions boundary ARN (optional): 

      2

      
      ? Role Path (optional): [? for help] 

      3

      
      ? Role creation mode: auto 

      4

      
      I: Creating ocm user role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>'
      ? Create the 'ManagedOpenShift-User-<red_hat_username>-Role' role? Yes
      I: Created role 'ManagedOpenShift-User-<red_hat_username>-Role' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role'
      I: Linking User role
      ? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role
      ? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' role with account '<red_hat_user_account_id>'? Yes 

      5

      
      I: Successfully linked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' with account '<red_hat_user_account_id>'

      Copy to Clipboard Toggle word wrap

      1

      Indiquez le préfixe à inclure dans le nom du rôle utilisateur. La valeur par défaut est ManagedOpenShift.

      2

      Facultatif : Spécifiez une limite d’autorisations avec Amazon Resource Name (ARN) pour le rôle. Consultez les limites des autorisations pour les entités IAM dans la documentation AWS.

      3

      Indiquez un chemin ARN personnalisé pour votre rôle d’utilisateur. Le chemin doit contenir uniquement des caractères alphanumériques et commencer et se terminer par /, par exemple /test/path/dev/. Consultez la personnalisation du chemin ARN pour les rôles et les politiques IAM.

      4

      Choisissez le mode de création de rôles. Le mode automatique permet de créer automatiquement le rôle de l’utilisateur et de le lier à votre compte d’utilisateur OpenShift Cluster Manager. En mode manuel, le ROSA CLI génère les commandes aws nécessaires pour créer et relier le rôle. En mode manuel, les fichiers JSON de stratégie correspondant sont également enregistrés dans le répertoire actuel. le mode manuel vous permet d’examiner les détails avant d’exécuter manuellement les commandes aws.

      5

      Liez le rôle d’utilisateur à votre compte d’utilisateur OpenShift Cluster Manager.

   9. Lorsque vous avez choisi de ne pas lier le rôle de l’utilisateur à votre compte d’utilisateur OpenShift Cluster Manager dans la commande précédente, copiez la commande de lien rosa à partir de la page de rôle utilisateur OpenShift Cluster Manager et exécutez-le:

      $ rosa link user-role <arn> 

      1

      Copy to Clipboard Toggle word wrap

      1

      <arn> par l’ARN du rôle utilisateur qui est inclus dans la sortie de la commande précédente.

   10. Dans la page des rôles d’utilisateur OpenShift Cluster Manager, cliquez sur OK.
   11. Assurez-vous que l’ID de compte AWS est listé dans le menu déroulant des comptes AWS associés sur la page Comptes et rôles.

   12. Lorsque les rôles de compte requis n’existent pas, une notification est fournie indiquant que certains rôles de compte ARN n’ont pas été détectés. Il est possible de créer les rôles et stratégies AWS, y compris les stratégies d’opérateur, en cliquant sur le tampon de copie à côté de la commande rosa créer des rôles de compte et exécuter la commande dans le CLI:

       $ rosa create account-roles

       Copy to Clipboard Toggle word wrap

       Exemple de sortie

       I: Logged in as '<red_hat_username>' on 'https://api.openshift.com'
       I: Validating AWS credentials...
       I: AWS credentials are valid!
       I: Validating AWS quota...
       I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against https://docs.openshift.com/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html
       I: Verifying whether OpenShift command-line tool is available...
       I: Current OpenShift Client Version: 4.0
       I: Creating account roles
       ? Role prefix: ManagedOpenShift 

       1

       
       ? Permissions boundary ARN (optional): 

       2

       
       ? Path (optional): [? for help] 

       3

       
       ? Role creation mode: auto 

       4

       
       I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>'
       ? Create the 'ManagedOpenShift-Installer-Role' role? Yes 

       5

       
       I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role'
       ? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes 

       6

       
       I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role'
       ? Create the 'ManagedOpenShift-Worker-Role' role? Yes 

       7

       
       I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role'
       ? Create the 'ManagedOpenShift-Support-Role' role? Yes 

       8

       
       I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role'
       I: To create a cluster with these roles, run the following command:
       rosa create cluster --sts

       Copy to Clipboard Toggle word wrap

       1

       Indiquez le préfixe à inclure dans le nom de rôle OpenShift Cluster Manager IAM. La valeur par défaut est ManagedOpenShift.

       Important

       Il faut spécifier un préfixe de rôle à l’échelle du compte qui est unique sur votre compte AWS, même si vous utilisez un chemin ARN personnalisé pour les rôles de votre compte.

       2

       Facultatif : Spécifiez une limite d’autorisations avec Amazon Resource Name (ARN) pour le rôle. Consultez les limites des autorisations pour les entités IAM dans la documentation AWS.

       3

       Indiquez un chemin ARN personnalisé pour les rôles à l’échelle de votre compte. Le chemin doit contenir uniquement des caractères alphanumériques et commencer et se terminer par /, par exemple /test/path/dev/. Consultez la personnalisation du chemin ARN pour les rôles et les politiques IAM.

       4

       Choisissez le mode de création de rôles. Il est possible d’utiliser le mode automatique pour créer automatiquement les rôles et les stratégies du compte. En mode manuel, le ROSA CLI génère les commandes aws nécessaires pour créer les rôles et les politiques. En mode manuel, les fichiers JSON de stratégie correspondant sont également enregistrés dans le répertoire actuel. le mode manuel vous permet d’examiner les détails avant d’exécuter manuellement les commandes aws.

       5 6 7 8

       Crée l’installateur à l’échelle du compte, le plan de contrôle, les rôles de travail et de support et les politiques IAM correspondantes. Consultez pour plus d’informations le rôle et la référence des politiques et du rôle de l’IAM à l’échelle du compte.

       Note

       Dans cette étape, le ROSA CLI crée également automatiquement les politiques IAM de l’opérateur à l’échelle du compte qui sont utilisées par les politiques d’opérateur spécifiques au cluster pour permettre aux opérateurs de cluster ROSA d’exécuter la fonctionnalité principale d’OpenShift. Consultez pour plus d’informations le rôle et la référence des politiques et du rôle de l’IAM à l’échelle du compte.

   13. Dans la page Comptes et rôles, cliquez sur Refresh ARNs et vérifiez que l’installateur, le support, le travailleur et le rôle de compte de contrôle sont listés.

       Lorsque vous avez plus d’un ensemble de rôles de compte dans votre compte AWS pour la version de votre cluster, une liste déroulante des ARN de rôle d’installateur est fournie. Choisissez l’ARN pour le rôle d’installateur que vous souhaitez utiliser avec votre cluster. Le cluster utilise les rôles et les politiques à l’échelle du compte qui se rapportent au rôle d’installateur sélectionné.

4. Cliquez sur Next.

   Note

   Lorsque la page Comptes et rôles a été actualisée, vous devrez peut-être sélectionner la case à cocher pour reconnaître que vous avez lu et rempli toutes les conditions préalables.

5. Dans la page Détails du cluster, fournissez un nom pour votre cluster et spécifiez les détails du cluster:

   1. Ajoutez un nom de cluster.

   2. Facultatif: Création de cluster génère un préfixe de domaine en tant que sous-domaine pour votre cluster provisionné sur openshiftapps.com. Lorsque le nom du cluster est inférieur ou égal à 15 caractères, ce nom est utilisé pour le préfixe de domaine. Lorsque le nom du cluster est supérieur à 15 caractères, le préfixe de domaine est généré au hasard sur une chaîne de 15 caractères.

      Afin de personnaliser le sous-domaine, sélectionnez la case à cocher Créer un préfixe de domaine personnalisé et entrez le nom de préfixe de domaine dans le champ Préfixe de domaine. Le préfixe de domaine ne peut pas dépasser 15 caractères, doit être unique au sein de votre organisation et ne peut pas être modifié après la création de clusters.

   3. Choisissez une version de cluster dans le menu déroulant Version.
   4. Choisissez une région fournisseur de cloud dans le menu déroulant Région.
   5. Choisissez une configuration de zone unique ou multi-zone.
   6. Laissez activer la surveillance de la charge de travail de l’utilisateur sélectionnée pour surveiller vos propres projets indépendamment des métriques de la plate-forme Red Hat Site Reliability Engineer (SRE). Cette option est activée par défaut.

   7. Facultatif: Expandez le chiffrement avancé pour apporter des modifications aux paramètres de chiffrement.

      1. Acceptez le paramètre par défaut Utilisez les clés KMS par défaut pour utiliser votre clé AWS KMS par défaut, ou sélectionnez Utilisez les touches KMS personnalisées pour utiliser une clé KMS personnalisée.

         1. Avec les touches KMS personnalisées sélectionnées, saisissez l’ARN ARN de la clé personnalisée Amazon Resource Name (ARN) d’AWS Key Management Service (KMS) dans le champ Key ARN. La clé est utilisée pour chiffrer tous les plans de contrôle, l’infrastructure, les volumes racine des nœuds de travail et les volumes persistants de votre cluster.

         2. Facultatif: Pour créer une clé KMS gérée par le client, suivez la procédure de création de clés KMS de chiffrement symétrique.

            Important

            Le rôle d’opérateur EBS est requis en plus des rôles de compte pour créer avec succès votre cluster.

            Ce rôle doit être associé à la stratégie ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials, une politique IAM requise par ROSA pour gérer le stockage back-end via l’interface de stockage de conteneurs (CSI).

            Consultez les méthodes de création de rôles à l’échelle du compte pour obtenir de plus amples renseignements sur les politiques et les autorisations requises par les opérateurs de cluster.

            Exemple de rôle d’opérateur EBS

            "ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"

            Après avoir créé vos rôles d’opérateur, vous devez modifier la stratégie clé dans la page Services de gestion des clés (KMS) de la console AWS pour ajouter les rôles.

      2. Facultatif: Sélectionnez Activer la cryptographie FIPS si vous exigez que votre cluster soit validé FIPS.

         Note

         Lorsque la cryptographie FIPS est sélectionnée, Activer le chiffrement etcd supplémentaire est activé par défaut et ne peut pas être désactivé. Activez le chiffrement supplémentaire etcd sans sélectionner Activer la cryptographie FIPS.

      3. Facultatif: Sélectionnez Activer le chiffrement supplémentaire etcd si vous avez besoin d’un cryptage de valeur clé etcd. Avec cette option, les valeurs de clé etcd sont cryptées, mais les clés ne le sont pas. Cette option s’ajoute au chiffrement de stockage de plan de contrôle qui chiffre les volumes etcd dans Red Hat OpenShift Service sur les clusters AWS par défaut.

         Note

         En activant le chiffrement etcd pour les valeurs clés dans etcd, vous subirez un surcharge de performance d’environ 20%. Les frais généraux sont le résultat de l’introduction de cette deuxième couche de chiffrement, en plus du chiffrement de stockage de plan de contrôle par défaut qui crypte les volumes etcd. Envisagez d’activer le chiffrement etcd seulement si vous en avez spécifiquement besoin pour votre cas d’utilisation.

   8. Cliquez sur Next.

6. Dans la page de pool de machines par défaut, sélectionnez un type d’instance de nœud de calcul.

   Note

   Après la création de votre cluster, vous pouvez modifier le nombre de nœuds de calcul dans votre cluster, mais vous ne pouvez pas modifier le type d’instance de nœud de calcul dans le pool de machines par défaut. Le nombre et les types de nœuds à votre disposition dépendent de l’utilisation de zones de disponibilité uniques ou multiples. Ils dépendent également de ce qui est activé et disponible dans votre compte AWS et la région sélectionnée.

7. Facultatif: Configurer l’autoscaling pour le pool de machines par défaut:

   1. Activez la mise à l’échelle automatique pour mettre automatiquement à l’échelle le nombre de machines de votre pool de machines par défaut pour répondre aux besoins de déploiement.

   2. Définissez les limites minimales et maximales de comptage des nœuds pour l’autoscaling. Le cluster autoscaler ne réduit pas ou n’augmente pas le nombre de nœuds de pool machine par défaut au-delà des limites que vous spécifiez.

      • Lorsque vous avez déployé votre cluster à l’aide d’une seule zone de disponibilité, définissez le nombre minimum de nœuds et le nombre maximal de nœuds. Cela définit les limites minimales et maximales des nœuds de calcul dans la zone de disponibilité.
      • Lorsque vous avez déployé votre cluster à l’aide de plusieurs zones de disponibilité, définissez les nœuds minimum par zone et les nœuds maximaux par zone. Cela définit les limites minimales et maximales des nœuds de calcul par zone.
      Note

      Alternativement, vous pouvez définir vos préférences de mise à l’échelle automatique pour le pool de machines par défaut après la création du pool de machines.

8. Dans le cas où vous n’avez pas activé la mise à l’échelle automatique, sélectionnez un nombre de nœuds de calcul pour votre pool de machines par défaut:

   • Lorsque vous avez déployé votre cluster à l’aide d’une seule zone de disponibilité, sélectionnez un compte de nœuds de calcul dans le menu déroulant. Cela définit le nombre de nœuds de calcul à fournir au pool de machines pour la zone.
   • Lorsque vous avez déployé votre cluster à l’aide de plusieurs zones de disponibilité, sélectionnez le nombre de nœuds de calcul (par zone) dans le menu déroulant. Cela définit le nombre de nœuds de calcul à fournir au pool de machine par zone.

9. Facultatif: Sélectionnez une configuration EC2 Instance Metadata Service (IMDS) - optionnelle (par défaut) ou requise - pour appliquer l’utilisation de IMDSv2. Consultez les métadonnées de l’instance et les données de l’utilisateur dans la documentation AWS.

   Important

   Les paramètres du service de métadonnées d’instance ne peuvent pas être modifiés après la création de votre cluster.

10. En option: Expandez les étiquettes de nœuds pour ajouter des étiquettes à vos nœuds. Cliquez sur Ajouter une étiquette pour ajouter d’autres étiquettes de nœuds et sélectionnez Suivant.

11. Dans la section Confidentialité du cluster de la page de configuration du réseau, sélectionnez Public ou Privé pour utiliser les points de terminaison des API publiques ou privées et les itinéraires d’application pour votre cluster.

    Important

    Le point de terminaison API ne peut pas être modifié entre public et privé après la création de votre cluster.

    Fin de l’API publique

    Choisissez Public si vous ne voulez pas restreindre l’accès à votre cluster. Depuis Internet, vous pouvez accéder au point de terminaison de l’API Kubernetes et aux itinéraires d’application.

    Fin de l’API privée

    Choisissez Privé si vous souhaitez restreindre l’accès au réseau à votre cluster. Le point de terminaison de l’API Kubernetes et les itinéraires d’application sont accessibles uniquement à partir de connexions privées directes.

    Important

    Lorsque vous utilisez des points de terminaison d’API privés, vous ne pouvez pas accéder à votre cluster tant que vous n’avez pas mis à jour les paramètres réseau de votre compte fournisseur de cloud.

12. Facultatif : Si vous avez choisi d’utiliser des points de terminaison d’API publics, un nouveau VPC est créé par défaut pour votre cluster. Dans le cas où vous souhaitez installer votre cluster dans un VPC existant, sélectionnez Installer dans un VPC existant.

    Avertissement

    Il est impossible d’installer un cluster ROSA dans un VPC existant créé par l’installateur OpenShift. Ces VPC sont créés au cours du processus de déploiement de clusters et ne doivent être associés qu’à un seul cluster pour s’assurer que les opérations de provisionnement et de suppression des clusters fonctionnent correctement.

    Afin de vérifier si un VPC a été créé par l’installateur OpenShift, vérifiez la valeur détenue sur la balise kubernetes.io/cluster/<infra-id>. Lors de l’affichage des balises pour le VPC nommée mycluster-12abc-34def, la balise kubernetes.io/cluster/mycluster-12abc-34def a une valeur de propriété. Le VPC a donc été créé par l’installateur et ne doit pas être modifié par l’administrateur.

    Note

    Lorsque vous avez choisi d’utiliser des points de terminaison d’API privés, vous devez utiliser un VPC existant et PrivateLink et l’installation dans un VPC existant et utiliser une option PrivateLink sont automatiquement sélectionnées. Grâce à ces options, l’équipe de Red Hat Site Reliability Engineering (SRE) peut se connecter au cluster pour vous aider avec le support en utilisant uniquement les points de terminaison AWS PrivateLink.

13. Facultatif: Si vous installez votre cluster dans un VPC existant, sélectionnez Configurer un proxy à l’échelle du cluster pour activer un proxy HTTP ou HTTPS pour refuser l’accès direct à Internet à partir de votre cluster.
14. Cliquez sur Next.

15. Lorsque vous avez choisi d’installer le cluster dans un VPC AWS existant, fournissez vos paramètres de sous-réseau Virtual Private Cloud (VPC).

    Note

    Assurez-vous que votre VPC est configuré avec un sous-réseau public et privé pour chaque zone de disponibilité dans laquelle vous souhaitez installer le cluster. Lorsque vous avez choisi d’utiliser PrivateLink, seuls les sous-réseaux privés sont requis.

    1. En option: étendez les groupes de sécurité supplémentaires et sélectionnez des groupes de sécurité personnalisés supplémentaires à appliquer aux nœuds dans les pools de machines créés par défaut. Il faut déjà avoir créé les groupes de sécurité et les associer au VPC que vous avez sélectionné pour ce cluster. Après avoir créé le cluster, vous ne pouvez pas ajouter ou modifier des groupes de sécurité dans les pools de machines par défaut.

       Les groupes de sécurité que vous spécifiez seront ajoutés par défaut pour tous les types de nœuds. Décochez la case Appliquer les mêmes groupes de sécurité à tous les types de nœuds (plan de contrôle, infrastructure et travail) pour sélectionner différents groupes de sécurité pour chaque type de nœud.

       Consultez les exigences relatives aux groupes de sécurité au titre des ressources supplémentaires.

16. Lorsque vous avez choisi de configurer un proxy à l’échelle du cluster, fournissez les détails de la configuration de votre proxy sur la page proxy à l’échelle du cluster:

    1. Entrez une valeur dans au moins un des champs suivants:

       • Indiquez une URL proxy HTTP valide.
       • Indiquez une URL proxy HTTPS valide.
       • Dans le champ Autres paquets de confiance, fournissez un paquet de certificats X.509 codé PEM. Le paquet est ajouté au magasin de certificats de confiance pour les nœuds de cluster. Il est nécessaire d’obtenir un fichier de groupe de confiance supplémentaire si vous utilisez un proxy d’inspection TLS à moins que le certificat d’identité du proxy ne soit signé par une autorité du groupe de confiance Red Hat Enterprise Linux CoreOS (RHCOS). Cette exigence s’applique indépendamment du fait que le proxy soit transparent ou nécessite une configuration explicite en utilisant les arguments http-proxy et https-proxy.

    2. Cliquez sur Next.

       Afin d’obtenir plus d’informations sur la configuration d’un proxy avec Red Hat OpenShift Service sur AWS, consultez Configurer un proxy à l’échelle du cluster.

17. Dans la boîte de dialogue des plages CIDR, configurez des gammes de routage interdomaine sans classe (CIDR) ou utilisez les valeurs par défaut qui sont fournies et cliquez sur Suivant.

    Note

    Lorsque vous installez dans un VPC, la gamme Machine CIDR doit correspondre aux sous-réseaux VPC.

    Important

    Les configurations CIDR ne peuvent pas être modifiées ultérieurement. Confirmez vos sélections avec votre administrateur réseau avant de procéder.

18. Dans la page Rôles et stratégies de cluster, sélectionnez le rôle IAM de votre cluster préféré et le mode de création de fournisseurs OIDC.

    Avec le mode Manuel, vous pouvez utiliser soit les commandes rosa CLI soit les commandes aws CLI pour générer les rôles d’opérateur requis et le fournisseur OIDC pour votre cluster. Le mode manuel vous permet d’examiner les détails avant d’utiliser votre option préférée pour créer les ressources IAM manuellement et terminer l’installation de votre cluster.

    Alternativement, vous pouvez utiliser le mode Auto pour créer automatiquement les rôles d’opérateur et le fournisseur OIDC. Afin d’activer le mode Auto, le rôle OpenShift Cluster Manager IAM doit avoir des capacités d’administrateur.

    Note

    Lorsque vous avez spécifié des chemins ARN personnalisés lorsque vous avez créé les rôles associés à l’ensemble du compte, le chemin personnalisé est automatiquement détecté et appliqué aux rôles d’opérateur. Le chemin ARN personnalisé est appliqué lorsque les rôles Opérateur sont créés en utilisant le mode Manuel ou Auto.

19. Facultatif : Spécifiez un préfixe de rôles d’opérateur personnalisé pour les rôles IAM d’opérateur spécifiques à votre cluster.

    Note

    Les noms de rôles de l’opérateur spécifique au cluster sont préfixés avec le nom du cluster et le hachage aléatoire à 4 chiffres. En option, vous pouvez spécifier un préfixe personnalisé pour remplacer <cluster_name>-<hash> dans les noms de rôles. Le préfixe est appliqué lorsque vous créez les rôles IAM d’opérateur spécifiques au cluster. Afin d’obtenir des informations sur le préfixe, consultez À propos des préfixes de rôle de l’opérateur IAM personnalisés.

20. Choisissez Suivant.

21. Dans la page Stratégie de mise à jour Cluster, configurez vos préférences de mise à jour:

    1. Choisissez une méthode de mise à jour de cluster:

       • Choisissez des mises à jour individuelles si vous souhaitez planifier chaque mise à jour individuellement. C’est l’option par défaut.

       • Choisissez les mises à jour récurrentes pour mettre à jour votre cluster le jour de votre choix et l’heure de début, lorsque des mises à jour sont disponibles.

         Important

         Lorsque vous optez pour des mises à jour récurrentes, vous devez mettre à jour les ressources IAM à l’échelle du compte et spécifiques au cluster avant de mettre à jour votre cluster entre les versions mineures.

         Note

         Consultez les dates de fin de vie dans la documentation sur le cycle de vie de Red Hat OpenShift Service sur AWS. Consultez Red Hat OpenShift Service sur le cycle de vie de la mise à jour AWS.

    2. Lorsque vous avez opté pour des mises à jour récurrentes, sélectionnez un jour préféré de la semaine et mettez à niveau l’heure de début en UTC dans les menus déroulants.
    3. Facultatif: Vous pouvez définir un délai de grâce pour le drainage des nœuds pendant les mises à niveau de cluster. Le délai de grâce d’une heure est fixé par défaut.

    4. Cliquez sur Next.

       Note

       En cas de problèmes de sécurité critiques qui ont un impact significatif sur la sécurité ou la stabilité d’un cluster, Red Hat Site Reliability Engineering (SRE) pourrait programmer des mises à jour automatiques de la dernière version z-stream qui n’est pas affectée. Les mises à jour sont appliquées dans les 48 heures suivant la notification des clients. La description de la cote de sécurité d’impact critique, voir Comprendre les cotes de sécurité Red Hat.

22. Examinez le résumé de vos sélections et cliquez sur Créer un cluster pour démarrer l’installation du cluster.

23. Lorsque vous avez choisi d’utiliser le mode Manuel, créez manuellement les rôles d’opérateur spécifiques au cluster et le fournisseur OIDC pour continuer l’installation:

    1. Dans la boîte de dialogue Action nécessaire pour continuer l’installation, sélectionnez soit l’onglet AWS CLI ou l’onglet ROSA CLI et créez manuellement les ressources:

       • Lorsque vous avez choisi d’utiliser la méthode AWS CLI, cliquez sur Télécharger .zip, enregistrez le fichier, puis extrayez les fichiers de commande et de stratégie AWS CLI. Ensuite, exécutez les commandes aws fournies dans le CLI.

         Note

         Il faut exécuter les commandes aws dans le répertoire qui contient les fichiers de stratégie.

       • Lorsque vous avez choisi d’utiliser la méthode ROSA CLI, cliquez sur le bouton copier à côté de la rosa créer des commandes et les exécuter dans le CLI.

         Note

         Lorsque vous avez spécifié des chemins ARN personnalisés lorsque vous avez créé les rôles associés à l’ensemble du compte, le chemin personnalisé est automatiquement détecté et appliqué aux rôles d’opérateur lorsque vous les créez en utilisant ces méthodes manuelles.

    2. Dans la boîte de dialogue Action requise pour continuer l’installation, cliquez sur x pour retourner à la page Aperçu de votre cluster.
    3. Assurez-vous que l’état du cluster dans la section Détails de la page Aperçu de votre cluster a changé de l’attente à l’installation. Il peut y avoir un court délai d’environ deux minutes avant que le statut ne change.
    Note

    Lorsque vous avez choisi d’utiliser le mode Auto, OpenShift Cluster Manager crée automatiquement les rôles Opérateur et le fournisseur OIDC.

    Important

    Le rôle d’opérateur EBS est requis en plus des rôles de compte pour créer avec succès votre cluster.

    Ce rôle doit être associé à la stratégie ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials, une politique IAM requise par ROSA pour gérer le stockage back-end via l’interface de stockage de conteneurs (CSI).

    Consultez les méthodes de création de rôles à l’échelle du compte pour obtenir de plus amples renseignements sur les politiques et les autorisations requises par les opérateurs de cluster.

    Exemple de rôle d’opérateur EBS

    "ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"

    Après avoir créé vos rôles d’opérateur, vous devez modifier la stratégie clé dans la page Services de gestion des clés (KMS) de la console AWS pour ajouter les rôles.

Procédure

1. Créer les rôles et politiques nécessaires à l’échelle du compte, y compris les politiques de l’opérateur:

   1. Générer les fichiers JSON de stratégie IAM dans le répertoire de travail actuel et afficher les commandes aws CLI pour examen:

      $ rosa create account-roles --interactive \ 

      1

      
                                  --mode manual 

      2

      Copy to Clipboard Toggle word wrap

      1

      le mode interactif vous permet de spécifier les options de configuration dans les instructions interactives. Consultez la référence du mode de création de clusters interactifs pour plus d’informations.

      2

      le mode manuel génère les commandes aws CLI et les fichiers JSON nécessaires pour créer les rôles et les politiques à l’échelle du compte. Après examen, vous devez exécuter les commandes manuellement pour créer les ressources.

      Exemple de sortie

      I: Logged in as '<red_hat_username>' on 'https://api.openshift.com'
      I: Validating AWS credentials...
      I: AWS credentials are valid!
      I: Validating AWS quota...
      I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against https://docs.openshift.com/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html
      I: Verifying whether OpenShift command-line tool is available...
      I: Current OpenShift Client Version: 4.0
      I: Creating account roles
      ? Role prefix: ManagedOpenShift 

      1

      
      ? Permissions boundary ARN (optional): 

      2

      
      ? Path (optional): [? for help] 

      3

      
      ? Role creation mode: auto 

      4

      
      I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>'
      ? Create the 'ManagedOpenShift-Installer-Role' role? Yes 

      5

      
      I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role'
      ? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes 

      6

      
      I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role'
      ? Create the 'ManagedOpenShift-Worker-Role' role? Yes 

      7

      
      I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role'
      ? Create the 'ManagedOpenShift-Support-Role' role? Yes 

      8

      
      I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role'
      I: To create a cluster with these roles, run the following command:
      rosa create cluster --sts

      Copy to Clipboard Toggle word wrap

      1

      Indiquez le préfixe à inclure dans le nom de rôle OpenShift Cluster Manager IAM. La valeur par défaut est ManagedOpenShift.

      Important

      Il faut spécifier un préfixe de rôle à l’échelle du compte qui est unique sur votre compte AWS, même si vous utilisez un chemin ARN personnalisé pour les rôles de votre compte.

      2

      Facultatif : Spécifie une limite d’autorisations à Amazon Resource Name (ARN) pour le rôle. Consultez les limites des autorisations pour les entités IAM dans la documentation AWS.

      3

      Indiquez un chemin ARN personnalisé pour les rôles à l’échelle de votre compte. Le chemin doit contenir uniquement des caractères alphanumériques et commencer et se terminer par /, par exemple /test/path/dev/. Consultez la personnalisation du chemin ARN pour les rôles et les politiques IAM.

      4

      Choisissez le mode de création de rôles. Il est possible d’utiliser le mode automatique pour créer automatiquement les rôles et les stratégies du compte. En mode manuel, la rosa CLI génère les commandes aws nécessaires pour créer les rôles et les politiques. En mode manuel, les fichiers JSON de stratégie correspondant sont également enregistrés dans le répertoire actuel. le mode manuel vous permet d’examiner les détails avant d’exécuter manuellement les commandes aws.

      5 6 7 8

      Crée l’installateur à l’échelle du compte, le plan de contrôle, les rôles de travail et de support et les politiques IAM correspondantes. Consultez pour plus d’informations le rôle et la référence des politiques et du rôle de l’IAM à l’échelle du compte.

      Note

      Dans cette étape, le ROSA CLI crée également automatiquement les politiques IAM de l’opérateur à l’échelle du compte qui sont utilisées par les politiques d’opérateur spécifiques au cluster pour permettre aux opérateurs de cluster ROSA d’exécuter la fonctionnalité principale d’OpenShift. Consultez pour plus d’informations le rôle et la référence des politiques et du rôle de l’IAM à l’échelle du compte.

      1. Après examen, exécutez les commandes aws manuellement pour créer les rôles et les stratégies. Alternativement, vous pouvez exécuter la commande précédente en utilisant --mode auto pour exécuter immédiatement les commandes aws.

2. Facultatif: Si vous utilisez votre propre clé AWS KMS pour chiffrer le plan de contrôle, l’infrastructure, les volumes racine des nœuds de travail et les volumes persistants (PV), ajoutez l’ARN pour le rôle d’installateur à l’échelle du compte à votre politique de clé KMS.

   Important

   Les volumes persistants (PV) créés à partir de la classe de stockage par défaut sont chiffrés avec cette clé spécifique.

   Les PVS créés en utilisant n’importe quelle autre classe de stockage sont toujours cryptés, mais les PV ne sont pas cryptés avec cette clé, sauf si la classe de stockage est spécifiquement configurée pour utiliser cette clé.

   1. Enregistrez la stratégie clé de votre clé KMS dans un fichier sur votre machine locale. L’exemple suivant permet d’économiser la sortie sur kms-key-policy.json dans le répertoire de travail actuel:

      $ aws kms get-key-policy --key-id <key_id_or_arn> --policy-name default --output text > kms-key-policy.json 

      1

      Copy to Clipboard Toggle word wrap

      1

      <key_id_or_arn> par l’ID ou l’ARN de votre clé KMS.

   2. Ajoutez l’ARN pour le rôle d’installation à l’échelle du compte que vous avez créé dans l’étape précédente à la section Statement.Principal.AWS dans le fichier. Dans l’exemple suivant, le rôle ARN pour le rôle par défaut ManagedOpenShift-Installer-Role est ajouté:

      {
          "Version": "2012-10-17",
          "Id": "key-rosa-policy-1",
          "Statement": [
              {
                  "Sid": "Enable IAM User Permissions",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::<aws_account_id>:root"
                  },
                  "Action": "kms:*",
                  "Resource": "*"
              },
              {
                  "Sid": "Allow ROSA use of the key",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": [
                          "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role", 

      1

      
                          "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role",
                          "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role",
                          "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role",
                          "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" 

      2

      
                      ]
                  },
                  "Action": [
                      "kms:Encrypt",
                      "kms:Decrypt",
                      "kms:ReEncrypt*",
                      "kms:GenerateDataKey*",
                      "kms:DescribeKey"
                  ],
                  "Resource": "*"
              },
              {
                  "Sid": "Allow attachment of persistent resources",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": [
                          "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role", 

      3

      
                          "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role",
                          "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role",
                          "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role",
                          "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" 

      4

      
                      ]
                  },
                  "Action": [
                      "kms:CreateGrant",
                      "kms:ListGrants",
                      "kms:RevokeGrant"
                  ],
                  "Resource": "*",
                  "Condition": {
                      "Bool": {
                          "kms:GrantIsForAWSResource": "true"
                      }
                  }
              }
          ]
      }

      Copy to Clipboard Toggle word wrap

      1 3

      Il faut spécifier l’ARN pour le rôle à l’échelle du compte qui sera utilisé lors de la création du cluster ROSA. Les ARN énumérés dans la section doivent être séparés par des virgules.

      2 4

      Il faut spécifier l’ARN pour le rôle de l’opérateur qui sera utilisé lors de la création du cluster ROSA. Les ARN énumérés dans la section doivent être séparés par des virgules.

   3. Appliquez les modifications à votre politique clé KMS:

      $ aws kms put-key-policy --key-id <key_id_or_arn> \ 

      1

      
          --policy file://kms-key-policy.json \ 

      2

      
          --policy-name default

      Copy to Clipboard Toggle word wrap

      1

      <key_id_or_arn> par l’ID ou l’ARN de votre clé KMS.

      2

      Le préfixe du fichier:// doit être inclus lors du référencement d’une stratégie clé dans un fichier local.

      Lorsque vous créez le cluster à l’étape suivante, vous pouvez faire référence à l’ARN de votre clé KMS.

3. Créez un cluster avec STS en utilisant des options d’installation personnalisées. Il est possible d’utiliser le mode --interactive pour spécifier de manière interactive les paramètres personnalisés:

   Avertissement

   Il est impossible d’installer un cluster ROSA dans un VPC existant créé par l’installateur OpenShift. Ces VPC sont créés au cours du processus de déploiement de clusters et ne doivent être associés qu’à un seul cluster pour s’assurer que les opérations de provisionnement et de suppression des clusters fonctionnent correctement.

   Afin de vérifier si un VPC a été créé par l’installateur OpenShift, vérifiez la valeur détenue sur la balise kubernetes.io/cluster/<infra-id>. Lors de l’affichage des balises pour le VPC nommée mycluster-12abc-34def, la balise kubernetes.io/cluster/mycluster-12abc-34def a une valeur de propriété. Le VPC a donc été créé par l’installateur et ne doit pas être modifié par l’administrateur.

   $ rosa create cluster --interactive --sts

   Copy to Clipboard Toggle word wrap

   Exemple de sortie

   I: Interactive mode enabled.
   Any optional fields can be left empty and a default will be selected.
   ? Cluster name: <cluster_name>
   ? Domain prefix: <domain_prefix> 

   1

   
   ? Deploy cluster with Hosted Control Plane (optional): No
   ? Create cluster admin user: Yes 

   2

   
   ? Create custom password for cluster admin: No 

   3

   
   I: cluster admin user is cluster-admin
   I: cluster admin password is password
   ? OpenShift version: <openshift_version> 

   4

   
   ? Configure the use of IMDSv2 for ec2 instances optional/required (optional): 

   5

   
   I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role for the Installer role 

   6

   
   I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role for the ControlPlane role
   I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role for the Worker role
   I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role for the Support role
   ? External ID (optional): 

   7

   
   ? Operator roles prefix: <cluster_name>-<random_string> 

   8

   
   ? Deploy cluster using pre registered OIDC Configuration ID:
   ? Tags (optional) 

   9

   
   ? Multiple availability zones (optional): No 

   10

   
   ? AWS region: us-east-1
   ? PrivateLink cluster (optional): No
   ? Machine CIDR: 10.0.0.0/16
   ? Service CIDR: 172.30.0.0/16
   ? Pod CIDR: 10.128.0.0/14
   ? Install into an existing VPC (optional): Yes 

   11

   
   ? Subnet IDs (optional):
   ? Select availability zones (optional): No
   ? Enable Customer Managed key (optional): No 

   12

   
   ? Compute nodes instance type (optional):
   ? Enable autoscaling (optional): No
   ? Compute nodes: 2
   ? Worker machine pool labels (optional):
   ? Host prefix: 23
   ? Additional Security Group IDs (optional): 

   13

   
   ? > [*]  sg-0e375ff0ec4a6cfa2 ('sg-1')
   ? > [ ]  sg-0e525ef0ec4b2ada7 ('sg-2')
   ? Enable FIPS support: No 

   14

   
   ? Encrypt etcd data: No 

   15

   
   ? Disable Workload monitoring (optional): No
   I: Creating cluster '<cluster_name>'
   I: To create this cluster again in the future, you can run:
      rosa create cluster --cluster-name <cluster_name> --role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role --support-role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role --master-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role --worker-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role --operator-roles-prefix <cluster_name>-<random_string> --region us-east-1 --version 4.18.0 --additional-compute-security-group-ids sg-0e375ff0ec4a6cfa2 --additional-infra-security-group-ids sg-0e375ff0ec4a6cfa2 --additional-control-plane-security-group-ids sg-0e375ff0ec4a6cfa2 --replicas 2 --machine-cidr 10.0.0.0/16 --service-cidr 172.30.0.0/16 --pod-cidr 10.128.0.0/14 --host-prefix 23 

   16

   
   I: To view a list of clusters and their status, run 'rosa list clusters'
   I: Cluster '<cluster_name>' has been created.
   I: Once the cluster is installed you will need to add an Identity Provider before you can login into the cluster. See 'rosa create idp --help' for more information.
   ...

   Copy to Clipboard Toggle word wrap

   1

   En option. Lors de la création de votre cluster, vous pouvez personnaliser le sous-domaine de votre cluster sur *.openshiftapps.com à l’aide du drapeau --domain-prefix. La valeur de ce drapeau doit être unique au sein de votre organisation, ne peut pas dépasser 15 caractères et ne peut pas être modifiée après la création de clusters. Lorsque le drapeau n’est pas fourni, une valeur générée automatiquement est créée qui dépend de la longueur du nom du cluster. Lorsque le nom du cluster est inférieur ou égal à 15 caractères, ce nom est utilisé pour le préfixe de domaine. Lorsque le nom du cluster est supérieur à 15 caractères, le préfixe de domaine est généré au hasard sur une chaîne de 15 caractères.

   2

   Lors de la création de votre cluster, vous pouvez créer un utilisateur administrateur local (cluster-admin) pour votre cluster. Cela configure automatiquement un fournisseur d’identité htpasswd pour l’utilisateur cluster-admin.

   3

   Il est possible de créer un mot de passe personnalisé pour l’utilisateur cluster-admin ou de demander au système de générer un mot de passe. Dans le cas où vous ne créez pas de mot de passe personnalisé, le mot de passe généré s’affiche dans la sortie de la ligne de commande. Lorsque vous spécifiez un mot de passe personnalisé, le mot de passe doit être d’au moins 14 caractères (norme CSAII) sans espace blanc. Lorsqu’il est défini, le mot de passe est haché et transporté en toute sécurité.

   4

   Lors de la création du cluster, les options de version OpenShift listées incluent les versions majeures, mineures et patchées, par exemple 4.18.0.

   5

   Facultatif: Spécifiez en option pour configurer toutes les instances EC2 pour utiliser à la fois les points de terminaison v1 et v2 du service de métadonnées d’instance EC2 (IMDS). C’est la valeur par défaut. Indiquez nécessaire pour configurer toutes les instances EC2 pour utiliser IMDSv2 uniquement.

   Important

   Les paramètres du service de métadonnées d’instance ne peuvent pas être modifiés après la création de votre cluster.

   6

   Lorsque vous avez plus d’un ensemble de rôles de compte pour la version de votre cluster dans votre compte Amazon Web Services (AWS), une liste interactive d’options est fournie.

   7

   Facultatif : Spécifiez un identifiant unique qui est passé par Red Hat OpenShift Service sur AWS et l’installateur OpenShift lorsqu’un rôle de compte est assumé. Cette option n’est requise que pour les rôles de compte personnalisés qui s’attendent à un identifiant externe.

   8

   Les noms de rôles de l’opérateur spécifique au cluster sont préfixés avec le nom du cluster et un hachage aléatoire à 4 chiffres. En option, vous pouvez spécifier un préfixe personnalisé pour remplacer <cluster_name>-<hash> dans les noms de rôles. Le préfixe est appliqué lorsque vous créez les rôles IAM d’opérateur spécifiques au cluster. Afin d’obtenir des informations sur le préfixe, consultez À propos des préfixes de rôle de l’opérateur IAM personnalisés.

   Note

   Lorsque vous avez spécifié des chemins ARN personnalisés lorsque vous avez créé les rôles associés à l’ensemble du compte, le chemin personnalisé est automatiquement détecté. Le chemin personnalisé est appliqué aux rôles d’opérateur spécifiques au cluster lorsque vous les créez dans une étape ultérieure.

   9

   Facultatif : Spécifiez une balise utilisée sur toutes les ressources créées par Red Hat OpenShift Service sur AWS. Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer les ressources au sein d’AWS. Les balises sont séparées par virgule, par exemple: valeur clé, entrée de données.

   Important

   Le service Red Hat OpenShift sur AWS ne prend en charge que les balises personnalisées des ressources Red Hat OpenShift lors de la création de clusters. Lorsqu’ils ont été ajoutés, les balises ne peuvent pas être supprimées ou modifiées. Les balises ajoutées par Red Hat sont nécessaires pour que les clusters restent en conformité avec les accords de niveau de production de Red Hat (SLA). Ces balises ne doivent pas être supprimées.

   Le service OpenShift Red Hat sur AWS ne prend pas en charge l’ajout de balises supplémentaires en dehors des ressources gérées par le cluster ROSA. Ces balises peuvent être perdues lorsque les ressources AWS sont gérées par le cluster ROSA. Dans ces cas, vous pourriez avoir besoin de solutions ou d’outils personnalisés pour réconcilier les balises et les garder intactes.

   10

   Facultatif: plusieurs zones de disponibilité sont recommandées pour les charges de travail de production. La valeur par défaut est une seule zone de disponibilité.

   11

   Facultatif: Vous pouvez créer un cluster dans un VPC existant, ou ROSA peut créer un nouveau VPC à utiliser.

   Avertissement

   Il est impossible d’installer un cluster ROSA dans un VPC existant créé par l’installateur OpenShift. Ces VPC sont créés au cours du processus de déploiement de clusters et ne doivent être associés qu’à un seul cluster pour s’assurer que les opérations de provisionnement et de suppression des clusters fonctionnent correctement.

   Afin de vérifier si un VPC a été créé par l’installateur OpenShift, vérifiez la valeur détenue sur la balise kubernetes.io/cluster/<infra-id>. Lors de l’affichage des balises pour le VPC nommée mycluster-12abc-34def, la balise kubernetes.io/cluster/mycluster-12abc-34def a une valeur de propriété. Le VPC a donc été créé par l’installateur et ne doit pas être modifié par l’administrateur.

   12

   Facultatif : Activez cette option si vous utilisez votre propre clé AWS KMS pour chiffrer le plan de contrôle, l’infrastructure, les volumes racine des nœuds de travail et les PV. Indiquez l’ARN pour la clé KMS que vous avez ajoutée au rôle ARN à l’échelle du compte dans l’étape précédente.

   Important

   Les volumes persistants (PV) créés à partir de la classe de stockage par défaut sont chiffrés avec cette clé spécifique.

   Les PVS créés en utilisant n’importe quelle autre classe de stockage sont toujours cryptés, mais les PV ne sont pas cryptés avec cette clé, sauf si la classe de stockage est spécifiquement configurée pour utiliser cette clé.

   13

   Facultatif: Vous pouvez sélectionner des groupes de sécurité personnalisés supplémentaires à utiliser dans votre cluster. Il faut déjà avoir créé les groupes de sécurité et les associer au VPC que vous avez sélectionné pour ce cluster. Après avoir créé le pool de machines, vous ne pouvez pas ajouter ou modifier des groupes de sécurité pour les pools de machines par défaut. Consultez les exigences relatives aux groupes de sécurité au titre des ressources supplémentaires.

   14

   Facultatif : Activez cette option si vous exigez que votre cluster soit validé FIPS. La sélection de cette option signifie que l’option de chiffrement des données etcd est activée par défaut et ne peut pas être désactivée. Il est possible de chiffrer les données etc. sans activer le support FIPS.

   15

   Facultatif: Activez cette option si votre cas d’utilisation nécessite seulement un cryptage de valeur clé etcd en plus du chiffrement de stockage de plan de contrôle qui chiffre les volumes etcd par défaut. Avec cette option, les valeurs de clé etcd sont cryptées mais pas les clés.

   Important

   En activant le chiffrement etcd pour les valeurs clés dans etcd, vous subirez un surcharge de performance d’environ 20%. Les frais généraux sont le résultat de l’introduction de cette deuxième couche de chiffrement, en plus du chiffrement de stockage de plan de contrôle par défaut qui crypte les volumes etcd. Le Red Hat vous recommande d’activer le chiffrement etc. uniquement si vous en avez spécifiquement besoin pour votre cas d’utilisation.

   16

   La sortie comprend une commande personnalisée que vous pouvez exécuter pour créer un autre cluster avec la même configuration.

   Comme alternative à l’utilisation du mode --interactive, vous pouvez spécifier les options de personnalisation directement lorsque vous exécutez la commande rosa create cluster. Exécutez la commande rosa create cluster --help pour afficher une liste d’options CLI disponibles, ou voir créer un cluster dans Gérer des objets avec le ROSA CLI.

   Important

   Il faut remplir les étapes suivantes pour créer les rôles de l’opérateur IAM et le fournisseur OpenID Connect (OIDC) pour déplacer l’état du cluster.

4. Créer les rôles IAM d’opérateur spécifiques au cluster:

   1. Générez les fichiers JSON de stratégie de l’opérateur IAM dans le répertoire de travail actuel et publiez les commandes aws CLI pour examen:

      $ rosa create operator-roles --mode manual --cluster <cluster_name|cluster_id> 

      1

      Copy to Clipboard Toggle word wrap

      1

      le mode manuel génère les commandes aws CLI et les fichiers JSON nécessaires pour créer les rôles d’opérateur. Après examen, vous devez exécuter les commandes manuellement pour créer les ressources.

   2. Après examen, exécutez les commandes aws manuellement pour créer les rôles IAM de l’opérateur et joindre les stratégies d’opérateur géré. Alternativement, vous pouvez exécuter à nouveau la commande précédente en utilisant --mode auto pour exécuter immédiatement les commandes aws.

      Note

      Le préfixe personnalisé est appliqué aux noms de rôles de l’opérateur si vous avez spécifié le préfixe à l’étape précédente.

      Lorsque vous avez spécifié des chemins ARN personnalisés lorsque vous avez créé les rôles associés à l’ensemble du compte, le chemin personnalisé est automatiquement détecté et appliqué aux rôles d’opérateur.

      Important

      Le rôle d’opérateur EBS est requis en plus des rôles de compte pour créer avec succès votre cluster.

      Ce rôle doit être associé à la stratégie ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials, une politique IAM requise par ROSA pour gérer le stockage back-end via l’interface de stockage de conteneurs (CSI).

      .Exemple rôle d’opérateur EBS "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"

      Après avoir créé vos rôles d’opérateur, vous devez modifier la stratégie clé dans la page Services de gestion des clés (KMS) de la console AWS pour ajouter les rôles.

5. Créer le fournisseur OpenID Connect (OIDC) que les opérateurs de cluster utilisent pour authentifier:

   $ rosa create oidc-provider --mode auto --cluster <cluster_name|cluster_id> 

   1

   Copy to Clipboard Toggle word wrap

   1

   le mode automatique exécute immédiatement la commande aws CLI qui crée le fournisseur OIDC.

6. Consultez l’état de votre cluster:

   $ rosa describe cluster --cluster <cluster_name|cluster_id>

   Copy to Clipboard Toggle word wrap

   Exemple de sortie

   Name:                       <cluster_name>
   ID:                         <cluster_id>
   External ID:                <external_id>
   OpenShift Version:          <version>
   Channel Group:              stable
   DNS:                        <cluster_name>.xxxx.p1.openshiftapps.com
   AWS Account:                <aws_account_id>
   API URL:                    https://api.<cluster_name>.xxxx.p1.openshiftapps.com:6443
   Console URL:                https://console-openshift-console.apps.<cluster_name>.xxxx.p1.openshiftapps.com
   Region:                     <aws_region>
   Multi-AZ:                   false
   Nodes:
    - Master:                  3
    - Infra:                   2
    - Compute:                 2
   Network:
    - Service CIDR:            172.30.0.0/16
    - Machine CIDR:            10.0.0.0/16
    - Pod CIDR:                10.128.0.0/14
    - Host Prefix:             /23
   STS Role ARN:               arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role
   Support Role ARN:           arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role
   Instance IAM Roles:
    - Master:                  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role
    - Worker:                  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role
   Operator IAM Roles:
    - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-ingress-operator-cloud-credentials
    - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent
    - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-machine-api-aws-cloud-credentials
    - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cloud-credential-operator-cloud-crede
    - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-image-registry-installer-cloud-creden
   Ec2 Metadata Http Tokens:   optional
   State:                      ready
   Private:                    No
   Created:                    Oct  1 2021 08:12:25 UTC
   Details Page:               https://console.redhat.com/openshift/details/s/<subscription_id>
   OIDC Endpoint URL:          https://oidc.op1.openshiftapps.com/<cluster_id>|<oidc_config_id> \ 

   1

   Copy to Clipboard Toggle word wrap

   1. L’URL du point de terminaison dépend de la configuration BYO OIDC. Lorsque vous précréez la configuration OIDC, l’URL se termine par la valeur <oidc_config_id>; sinon, l’URL se termine par la valeur <cluster-ID>.

   Les changements de champ de l’État ci-après sont énumérés dans la sortie au fur et à mesure que l’installation du cluster progresse:

   • attente (Attendre la configuration OIDC)
   • en attente (Préparer le compte)
   • installation (configurationDNS en cours)
   • installation

   • ♪ prêt ♪

     Note

     En cas d’échec de l’installation ou que le champ État ne change pas pour être prêt après environ 40 minutes, vérifiez la documentation de dépannage de l’installation pour plus de détails. De plus amples informations sont disponibles sur les installations de dépannage. Les étapes à suivre pour contacter Red Hat Support pour obtenir de l’aide sont disponibles sur AWS.

7. Faites le suivi de la progression de la création de cluster en regardant les journaux d’installateur OpenShift:

   $ rosa logs install --cluster <cluster_name|cluster_id> --watch 

   1

   Copy to Clipboard Toggle word wrap

   1 1

   Indiquez le drapeau --watch pour regarder les nouveaux messages de journal au fur et à mesure que l’installation progresse. Cet argument est facultatif.